企業(yè)設(shè)置自己的服務(wù)器需要大量的前期投資和持續(xù)的維護(hù)����,這就是當(dāng)今大多數(shù)科技公司使用IaaS提供商來滿足他們的計(jì)算需求的原因。
企業(yè)設(shè)置自己的服務(wù)器需要大量的前期投資和持續(xù)的維護(hù)�,這就是當(dāng)今大多數(shù)科技公司使用IaaS提供商來滿足他們的計(jì)算需求的原因����。像AWS�、谷歌云和Microsoft Azure這樣的云計(jì)算提供商負(fù)責(zé)基礎(chǔ)設(shè)施的運(yùn)營和安全,例如提供新的服務(wù)器�����,并為用戶保持其最新運(yùn)行狀態(tài)����,他們提供的服務(wù)使用戶的開發(fā)團(tuán)隊(duì)能夠騰出時(shí)間�����,專注于為其應(yīng)用程序構(gòu)建有價(jià)值的新功能���。
本文將介紹開發(fā)人員在為他們的應(yīng)用程序進(jìn)行安全性和合規(guī)性分類時(shí)需要考慮的事項(xiàng)。業(yè)務(wù)基于云計(jì)算的企業(yè)經(jīng)常需要證明他們的軟件是按照安全最佳實(shí)踐來設(shè)置的���,而合規(guī)標(biāo)準(zhǔn)和認(rèn)證是了解企業(yè)安全狀況和與客戶建立信任的有效方式�。
以下將重點(diǎn)討論使用公有云提供商的應(yīng)用程序在合規(guī)性和安全性方面帶來的好處�,以及企業(yè)應(yīng)該考慮的注意事項(xiàng)。
云計(jì)算提供商使安全和合規(guī)性變得更容易
當(dāng)企業(yè)使用云計(jì)算服務(wù)時(shí)�,像啟動(dòng)虛擬機(jī)或監(jiān)視其性能這樣的過程會(huì)容易得多,因?yàn)樗械挠布凸δ芏家呀?jīng)提供�。同樣����,企業(yè)可以信任他們提供的安全功能����,因?yàn)榇蠖鄶?shù)主流云計(jì)算提供商已經(jīng)投入了資源來獲得和維護(hù)許多常見的安全認(rèn)證���,例如PCI DSS和SOC 2�����。此外�,任何一家云計(jì)算提供商的全球聲譽(yù)都取決于他們的安全記錄。
除了整體的信任因素之外�,由于所有面向合規(guī)性的功能,使用云計(jì)算提供商提供的服務(wù)使企業(yè)更容易獲得和維護(hù)安全認(rèn)證�����,如SOC2或ISO/IEC27001�����。以下介紹云計(jì)算提供商提供的一些此類功能的示例��。
(1)支持合規(guī)性的內(nèi)置功能
云計(jì)算提供商提供了許多內(nèi)置功能,以幫助企業(yè)遵守行業(yè)最佳實(shí)踐和規(guī)則�。例如,使用AWS S3存儲(chǔ)桶�����,可以為存儲(chǔ)在服務(wù)中的對(duì)象(文件和文件夾)創(chuàng)建專門的保留策略����。企業(yè)可以配置對(duì)象刪除的限制���,以及定義過期對(duì)象��。這使得在金融等領(lǐng)域更容易滿足合規(guī)性標(biāo)準(zhǔn)����。
云計(jì)算提供商可以使企業(yè)的生活更輕松的另一個(gè)領(lǐng)域是維護(hù)�����,因?yàn)樗麄冏詣?dòng)更新操作系統(tǒng)和包���。例如使用AWS Lambda���,企業(yè)的代碼將在輕量級(jí)的隔離環(huán)境中執(zhí)行���。AWS云平臺(tái)完全承擔(dān)了底層主機(jī)的維護(hù)工作。這為企業(yè)的技術(shù)運(yùn)營團(tuán)隊(duì)減少了一件需要擔(dān)心的事情����。
(2)與合規(guī)性監(jiān)控工具的集成
像Vanta和Drata這樣的合規(guī)工具與主要的云計(jì)算提供商的云計(jì)算服務(wù)集成,并允許企業(yè)自動(dòng)監(jiān)控是否符合合規(guī)標(biāo)準(zhǔn)���。因?yàn)檫@些工具可以直接插入到云提供商API中�,因此它們能夠自動(dòng)提取相關(guān)數(shù)據(jù)�����,并在配置錯(cuò)誤時(shí)發(fā)送警報(bào)�。
(3)內(nèi)置審計(jì)日志和事件跟蹤
由于云計(jì)算提供商已經(jīng)在企業(yè)的帳戶中收集了審計(jì)日志和跟蹤事件,因此對(duì)認(rèn)證的某些審計(jì)檢查變得更容易����。例如,對(duì)于谷歌云存儲(chǔ)�,具有不同數(shù)量的詳細(xì)信息的多個(gè)日志記錄選項(xiàng)是開箱即用的。在云計(jì)算服務(wù)中設(shè)置日志集合非常簡單����。因此�����,無論何時(shí)與審計(jì)人員共享日志�����,企業(yè)都可以提取結(jié)果作為合規(guī)性的證明���。
(4)用戶管理和細(xì)粒度權(quán)限
特別注意哪些用戶可以特權(quán)訪問企業(yè)的云提供商帳戶�,這對(duì)于降低安全漏洞的可能性大有幫助。這就是許多企業(yè)遵循最少特權(quán)原則的原因�。云計(jì)算提供商提供了許多選項(xiàng)來創(chuàng)建權(quán)限受限的用戶帳戶,以滿足這一原則��。例如����,Azure AD(Azure的身份和訪問管理服務(wù))允許在單個(gè)云計(jì)算服務(wù)級(jí)別配置用戶權(quán)限,甚至經(jīng)常在該服務(wù)中的單個(gè)條目級(jí)別配置用戶權(quán)限���。
主要的云計(jì)算提供商還提供了創(chuàng)建只使用API的用戶的可能性���,或者甚至在企業(yè)的基礎(chǔ)設(shè)施中讓虛擬機(jī)承擔(dān)特定的用戶角色���,而不需要為它創(chuàng)建任何憑證。
云計(jì)算提供商在安全性和合規(guī)性方面有很多優(yōu)勢(shì)�,但也面臨一些問題和挑戰(zhàn)。
云計(jì)算提供商不只是為企業(yè)解決合規(guī)問題
云計(jì)算提供商提供的云計(jì)算服務(wù)實(shí)現(xiàn)了許多功能��,使企業(yè)更容易實(shí)現(xiàn)合規(guī)性�����。但企業(yè)和個(gè)人仍然需要確定需要使用什么來滿足合規(guī)性要求����。實(shí)現(xiàn)和保持合規(guī)性的過程需要包括獲得合格的建議、實(shí)施所需的控制以及長期的監(jiān)控控制����。云計(jì)算提供商的功能只會(huì)減少完成這些步驟的難度。
需要注意的是�����,在尋求SOC 2等安全認(rèn)證時(shí)��,并沒有針對(duì)云計(jì)算服務(wù)客戶的特殊快速通道版本。企業(yè)仍然需要提供其使用的安全實(shí)踐的證據(jù)���,無論是在內(nèi)部部署還是通過云平臺(tái)����。企業(yè)將需要查找IaaS提供商的安全認(rèn)證��,請(qǐng)求支持文檔��,并將其提供給審核人員�����。審計(jì)的每一項(xiàng)要求都需要通過云計(jì)算提供商或企業(yè)直接提供的證據(jù)來滿足�����。
合規(guī)成本
進(jìn)行合規(guī)性和安全認(rèn)證時(shí)的另一個(gè)考慮因素是成本�。大多數(shù)企業(yè)沒有意識(shí)到云中一些與合規(guī)相關(guān)的服務(wù)成本會(huì)變得多么高昂��。AWS GuardDuty是一種流行的服務(wù)�����,可用于收集和存儲(chǔ)事件日志,按事件定價(jià)����。如果每天有數(shù)以百萬計(jì)的事件發(fā)送到GuardDuty,總成本可能會(huì)迅速增加�����。
增加合規(guī)成本復(fù)雜性的是��,使用模式以及未來的成本往往難以通過按使用付費(fèi)的合規(guī)服務(wù)進(jìn)行估計(jì)�����。使用GuardDuty的相同示例�,如果清楚每天將生成多少事件,就很容易理解未來的成本�����。但事件的數(shù)量很難預(yù)測(cè)����,工程團(tuán)隊(duì)可能需要數(shù)周時(shí)間才能對(duì)復(fù)雜的SaaS應(yīng)用程序的事件做出合理的估計(jì)。
鑒于潛在的無限成本影響����,公有云中的合規(guī)性成為一項(xiàng)成本優(yōu)化工作�。明智的企業(yè)會(huì)花費(fèi)時(shí)間計(jì)算和預(yù)計(jì)成本�,并估計(jì)各種安全風(fēng)險(xiǎn)的可能性和影響。例如���,金融服務(wù)公司的數(shù)據(jù)泄露可能對(duì)其業(yè)務(wù)造成毀滅性影響�����,因此此類公司可能愿意接受更高的合規(guī)成本��。但是����,對(duì)于安全風(fēng)險(xiǎn)較低的企業(yè)來說��,高額的合規(guī)費(fèi)用可能并不合理���。
值得注意的是,大多數(shù)云計(jì)算提供商提供了多種方式來實(shí)現(xiàn)合規(guī)性��。例如�����,如果GuardDuty對(duì)企業(yè)的用例來說過于昂貴,則可以通過其他方法來滿足特定的合規(guī)性檢查����。例如可以選擇通過腳本每周檢查所有系統(tǒng),而不是主動(dòng)事件監(jiān)控����。企業(yè)還可以為低使用率的服務(wù)啟用某些監(jiān)控(因此不會(huì)為此支付太多費(fèi)用),但為應(yīng)用程序的高事務(wù)部分尋找其他選項(xiàng)�����。
遵循的最佳實(shí)踐
以下是有關(guān)云安全性的一些最佳實(shí)踐建議�����。
(1)審批工作流程
審批工作流程是一個(gè)正式的流程�,用于監(jiān)控項(xiàng)目任務(wù),并確保它們滿足最后期限、滿足業(yè)務(wù)和產(chǎn)品要求�����,并且沒有錯(cuò)誤�����。具有清晰基礎(chǔ)流程和相關(guān)審計(jì)日志的標(biāo)準(zhǔn)化審批工作流程往往更容易滿足合規(guī)性檢查。使用云計(jì)算技術(shù)實(shí)現(xiàn)審批工作流有很多便捷的方法����,例如使用無服務(wù)器計(jì)算。
(2)第三方服務(wù)驗(yàn)證
除了使用云提供商提供的工具之外�,企業(yè)可能還會(huì)使用第三方軟件工具。其合規(guī)監(jiān)控流程應(yīng)包括驗(yàn)證使用的第三方服務(wù)的安全控制和合規(guī)標(biāo)準(zhǔn)�����。
(3)自動(dòng)化
雖然可以人工跟蹤合規(guī)性�����,但這樣做是不可持續(xù)的��,尤其是對(duì)于擁有數(shù)千名客戶的SaaS應(yīng)用程序來說�����。因此建議使用軟件工具和自動(dòng)化來監(jiān)控合規(guī)性�,并在基礎(chǔ)設(shè)施中的某些內(nèi)容不再合規(guī)時(shí)創(chuàng)建警報(bào)�。這使得該過程更快��、更健壯����。最重要的是�,出于認(rèn)證目的,它還使審核變得更容易�。
如何開始
要了解更多信息,需要了解SaaS用戶通信如何構(gòu)建安全性���,然后是開發(fā)人員合規(guī)性指南以及如何正確獲取GDPR和客戶通信�����。
立即登錄�����,閱讀全文
閩公網(wǎng)安備 35010202001226號(hào)
